אי סבירותו של צו הצופן (חלק שלישי)

אולי יעניין אותך גם

במשפט הישראלי יש מעמד מיוחד לסוד: "יש הרואים בסוד המסחרי קניין... אחרים רואים בו "מעין קניין" ..או אינטרס נכסיים... עם זאת ,דומה שמקובל על הכל כי הסוד המסחרי "קיים" במשפט וכי המשפט מספק אמצעים להגנתו מפני ניצולו ללא הסכמת הזכאי לו" (בג"צ 1683/93 יבין פלסט בע"מ נ' ביה"ד הארצי לעבודה). לא פלא איפוא שיותר ממאה הוראות בחקיקה הישראלית מחייבות שמירה על סודיות. הסיבות לדרישת הסודיות נעוצות במהות המידע שהדין מבקש להגן עליו:

  • מידע שבתחום צנעת הפרט : כך לדוגמה מורה סעיף 3 לחוק לגילוי נגיפי איידס בקטינים כי "אדם הפועל לפי חוק זה חייב חובת סודיות כלפי הקטין בכל ענין הקשור לבדיקה לגילוי נגיפי איידס בקטין; קיבל אדם מידע או מסמכים לפי חוק זה ,לא יעשה בהם שימוש ולא יגלה אותם לאחר אלא, לענין הודעה לפקיד סעד, אם נתקיימו התנאים למסירתה, תוך הגנה על פרטיותו של הקטין." הוראות אחרות עוסקות בשמירת סודיות בהקשרים של אימוץ, חטיפת קטינים או בריאות.
  • מידע כלכלי : חוק עוולות מסחריות, תשנ"ט-1999 מורה בסעיף 6 כי "לא יגזול אדם סוד מסחרי של אחר".
  • מידע בטחוני-לאומי : לדוגמה, חוק מקורות אנרגיה משנת 1989 מטיל חובה של שמירת מידע בסודיות.

פרטיות כזכות חוקתית

סיבה אחרת לדרישת הסודיות בדין נעוצה בהגנה על מקור המידע:

יחסים מקצועיים המחייבים שמירה על סודיות המידע עוגנו בחקיקה בקשר לפעולתם של עורכי דין, פסיכולוגים ורופאים.

תפקידים על-פי דין מחייבים גם הם שמירה על סודיות - מפשר, לדוגמה, חייב בשמירת סודיות המידע שקיבל מהצדדים המביאים בפניו את עניניהם מכוח תקנות בתי המשפט (פישור), התשנ"ג-1993 הלשכה המרכזית לסטטיסטיקה חייבת בשמירה על סודיות המידע שליקטה כבסיס לדו"חותיה.

בד בבד מורים חוקים שונים כי חשיפת מידע שלא כדין היא עבירה פלילית: דוגמה מובהקת נמצאת בהוראות חוק המחשבים, תשנ"ה-1995 ביחס לחדירה לחומר מחשב.

שיאן של ההוראות מצוי בחוק יסוד: כבוד האדם וחירותו המעלה את ההגנה על הקניין - ובמשמע, לפי שיטתם של הגורסים כי הסוד הוא קניין, את ההגנה על הסוד - לדרגה של זכות חוקתית. במקביל מעגן החוק כזכות חוקתית גם את הזכות לפרטיות ולצנעת הפרט: "כל אדם זכאי לפרטיות ולצנעת חייו", מורה סעיף 7 בחוק. "אין פוגעים בסוד שיחו של אדם ,בכתביו או ברשומותיו".

חובה בלא כוח

הדין אינו מסתפק בכך. חוק הגנת הפרטיות ,התשמ"א-1981 כולל הוראות המטילות אחריות לאבטחת מידע במאגרי מידע על בעליהם, המחזיקים בהם והמנהלים אותם. "אבטחת מידע" מוגדרת בסעיף 7 כ"הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין". תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמו"ו-1986 מפרטות מהן המטלות שיש לבצע כדי לאבטח מידע. ניתוחן מורה כי תכלית אבטחת המידע היא, בין השאר, להגן על סודיות, שלמות, זמינות ואמיתות המידע.

והנה, מטרות אלה הן בדיוק מה שההצפנה מיועדת להשיג. המעיין בספרו של עו"ד יונתן בר שדה, "האינטרנט והמשפט המסחרי המקוון" (פרלשטיין-גינוסר, 1998) ימצא כי בנוסף לארבע המטרות הללו משיגה ההצפנה תכלית נוספת ? היא שומרת ומעידה על הבעלות במידע. הצפנה היא איפוא כלי ראשון במעלה למימוש אחריותם החוקית של בעלי ומנהלי מאגרי מידע לאבטח את המידע השמור במאגריהם. היא גם כלי שאין לו תחליף בבוא אדם לממש את זכותו החוקתית להגן על סוד שיחו וכתביו, או את חובתו שבדין לשמור על חשאיות המידע שבידיו. אבל בדין הישראלי בולטת אי סימטריה משוועת: בעוד החוק מקנה את הזכויות ומטיל את החובות הללו, הוא שולל במידה רבה את האפשרות הגן עליהן בפועל, או לממשן בצורה הטובה ביותר, בכך שהוא אוסר שימוש באמצעי הצפנה אלא בהיתר מהמנהל הכללי של משרד הבטחון (ראה לענין זה את המדור מן השבוע שעבר). אמצעי ההצפנה שמותר להשתמש בהם הם אמצעי הצפנה שקיבלו רישיון או הוכרזו כאמצעים חופשיים - הווה אומר, סודותיהם גלויים בפני הרשות. והנה, הפרטיות זקוקה להגנה בראש ובראשונה מפני הרשות. קשה להלום סתירה בוטה כזו בין הטלת החובה, מצד אחד, לבין שלילת הכוח לנקוט אמצעים אלמנטריים למימושה, מצד שני.

הצפנה וטרור

קשה גם להבין מדוע רשויות הבטחון צריכות להתיר את השימושים באמצעי הצפנה לתכליות כדוגמת הגנת הרשומות הרפואיות של פרטים בבית חולים, הסתרת מידע מסחרי-עסקי וכיו"ב. אם תשמע עמדתו של משרד הבטחון, הוא ישיב כי הוא מבקש להגן על הסתרת מידע בלתי חוקי ? כדוגמת תוכניות לביצוע פיגועי טרור. ואמנם, בעבר פורסם שמבצעי הפיגוע במגדלי התאומים בניו-יורק העבירו ביניהם מסרים מוצפנים בדואר אלקטרוני. אלא שהמבקש לרצוח את זולתו בפיגוע חבלני ממילא לא יירתע מהשימוש באמצעי הצפנה רק מפני שהם הוכרזו ברי פיקוח. לפיכך, תוקפו של טעון זה קלוש.

באוקטובר 1998 כנכס לתוקפה הדירקטיבה של האיחוד האירופי בנושא ההגנה על יחידים מפני עיבוד מידע במאגרים ממוחשבים והעברתו של מידע כזה. הדירקטיבה מחייבת את המדינות החברות באיחוד להתאים את דיני הגנת הפרטיות שלהם להוראותיה. בין השאר היא אוסרת העברת מידע למדינות שאינן נוקטות צעדים מספיקים להגנה על המידע. אחד מאמות המידה שקבעה הדירקטיבה לשם בדיקת ההגנה על המידע הינה בדיקת חוקי המדינה. לפי שעה נמצא האיחוד האירופי במו"מ ממושך עם ארה"ב בהקשר זה, ודעתו אינה פנויה לבחון את ההסדרים החוקיים במדינות אחרות. אם וכאשר יתפנה לתת את דעתו על המצב בישראל, יבחן מן הסתם גם את דיני ההצפנה. כפי שהראנו לעיל, דינים אלה אינם הולמים עוד עקרונות מודרניים של הגנה על מידע במערכות מחשב.

סוף דבר: צו הצופן הופך מאות אלפים לעבריינים, שכן הם משתמשים באמצעי הצפנה (טלפונים סלולאריים או תוכנות מחשב) בלי לקבל רישיון מתאים; הואיל שזהו היקף העבריינות שהוא מוליד, לא ניתן לאכפו ביעילות; זהו דין מיושן שאינו תואם עוד את הזכות החוקתית לקנין ולפרטיות; הוא סותר את החובה המוטלת על בעלי, מנהלי ומחזיקי מאגרי מידע להבטיח את המידע שהם מחזיקים; מקנה סמכות לרשויות הבטחון בקשר עם שימושים אזרחיים מובהקים בהצפנה שאינם מעניינן כלל ועיקר; מעמיד את ישראל בסכנה של חרם אירופאי על שיתוף במידע; אינו הולם את הגישה המערבית המתקדמת לייצוא אמצעי הצפנה וכולל אי בהירויות בשאלות מפתח בהצפנה מודרנית ? כגון השימוש באמצעי הצפנה לתכלית של זיהוי (חתימה דיגיטלית). ככזה, צו הצופן הוא בלתי סביר. יש יסוד לסבור כי חלק מהוראותיו ? ובמובהק זו האוסרת על שימוש באמצעי הצפנה בלא רישיון ? מגיעות לדרגה של אי סבירות קיצונית המאפשרת לטעון לבטלותן. המועמדים המובהקים לעורר טענות כאלה הן חברות העוסקות באמצעי הצפנה, אלא שהן מעדיפות להימנע ממחלוקת עם רשויות הרישוי. הדבר מטיל את האחריות לפעול על הגורמים שעניינם בהגנה על פרטיות בישראל, ובראשם המועצה להגנת הפרטיות ורשמת מאגרי המידע.